Nadchodzące zmiany dla instytucji płatniczych w Polsce w zakresie zdalnego onboardingu
Od 2 października 2023 roku wejdą w życie wytyczne Europejskiego Urzędu Nadzoru Bankowego (dalej: „EUNB”) dotyczące wykorzystania rozwiązań w zakresie zdalnego nawiązywania relacji z klientami (EBA/GL/2022/15) – tzw. „zdalnego onboardingu”. Wytyczne będą miały zastosowanie do wszystkich instytucji kredytowych i finansowych, które są objęte zakresem dyrektywy w sprawie przeciwdziałania praniu pieniędzy (m.in.: krajowych instytucji płatniczych, małych instytucji płatniczych, biur usług płatniczych, przedsiębiorstw zbiorowego inwestowania wprowadzających do obrotu swoje jednostki lub akcje, pośredników ubezpieczeniowych, kantorów wymiany walut – dalej zbiorczo „Instytucji”). Wytyczne są neutralne technologicznie i nie dają pierwszeństwa w stosowaniu jednego narzędzia przed drugim.
Wytyczne EUNB wprowadzają szereg obowiązków, które obejmować będą w szczególności konieczność:
- wdrożenia polityk i procedur zdalnego onboardingu, w treści których uwzględnione będą:
- ogólny opis wprowadzonych rozwiązań technologicznych, jakie Instytucje stosują do gromadzenia, weryfikowania i rejestrowania informacji w trakcie takiego procesu obejmujący wyjaśnienie cech i sposobu funkcjonowania rozwiązania,
- sytuacje, w których można stosować rozwiązanie do zdalnej nawiązywania relacji z klientem, z uwzględnieniem czynników ryzyka zidentyfikowanych i ocenionych zgodnie z art. 8 (1) dyrektywy (UE) 2015/849 oraz w ocenie ryzyka w skali całego przedsiębiorstwa,
- informacje, które czynności będą wykonywanie w procesie w pełni autonomicznie, a które manualnie,
- opis stosowanych środków kontroli, które zapewnią, że pierwsza transakcja z nowo przyjętym klientem będzie realizowana dopiero po zastosowaniu wszystkich wstępnych środków należytej staranności wobec klienta,
- opis programów wprowadzających i regularnych szkoleń w celu zapewnienia, aby pracownicy mieli świadomość i aktualną wiedzę na temat funkcjonowania rozwiązania do zdalnego onboardingu klienta, związanego z tym ryzyka oraz polityki i procedur mających na celu ograniczenie tego ryzyka;
- przeprowadzenia oceny przedwdrożeniowej, która będzie zawierać co najmniej:
- ocenę adekwatności rozwiązania w zakresie kompletności i dokładności danych i dokumentów, które mają być zbierane, jak również wiarygodności i niezależności źródeł informacji, wykorzystywanych w ramach danego rozwiązania,
- ocenę wpływu korzystania z rozwiązania do zdalnego przyjmowania klientów na ryzyko ogólnobiznesowe, w tym ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu („PP/FT”), operacyjne, utraty reputacji i prawne,
- określenie możliwych środków łagodzących i działań zaradczych dla każdego ryzyka zidentyfikowanego w ramach oceny na podstawie lit. b) powyżej,
- testy mające na celu ocenę ryzyka nadużyć finansowych, w tym ryzyka podszywania się pod inne osoby oraz ryzyka związanego z technologią informacyjną i komunikacyjną („ICT„) oraz ryzyka związanego z bezpieczeństwem, zgodnie z zapisem 43 wytycznych EUNB EBA/GL/2019/04,
- kompleksowe testy funkcjonowania rozwiązania skierowanego do klientów, produktów oraz usług określonych w polityce i procedurach zdalnego onboardingu klienta;
- bieżącego monitorowania rozwiązania wykorzystywanego do zdalnego onboardingu klienta (przykładowo – (i) testy jakościowe, (ii) automatyczne krytyczne alarmy i powiadomienia, (iii) automatyczne sprawozdania dotyczące jakości, (iii) testowanie wyrywkowe, (iv) przeglądy manualne. Instytucje zobowiązane są do dokumentowania przeprowadzonych czynności sprawdzających;
- ujęcia w wewnętrznych procedurach zapisów dotyczących dokumentów, danych lub informacji z których Instytucja ta będzie korzystać w celu weryfikacji tożsamości klienta oraz sposób, w jaki informacje te będą weryfikowane. Instytucje powinny pozyskane dane przechowywać w sposób bezpieczny oraz opatrywać je znacznikiem czasu. Zapisy, w tym obrazy, filmy, dźwięki i dane powinny być dostępne w czytelnym formacie i umożliwiać instytucji ich weryfikacje ex-post;
- podjęcia kroków w celu upewnienia się, że kopia dokumentów klienta (jeśli Spółka nie bada oryginałów) jest wiarygodna. Instytucje powinny ustalić co najmniej:
- czy kopia zawiera zabezpieczenia wbudowane w oryginalny dokument oraz czy specyfikacje dokumentu oryginalnego, który jest powielany, są ważne i dopuszczalne, w szczególności rodzaj, rozmiar znaków i struktura dokumentu, poprzez porównanie ich z oficjalnymi bazami danych, takimi jak PRADO,
- czy dane osobowe nie zostały zmienione lub w inny sposób naruszone lub, w stosownych przypadkach czy zdjęcie klienta umieszczone w dokumencie nie zostało zastąpione,
- czy zachowana została integralność algorytmu zastosowanego do wygenerowania niepowtarzalnego numeru identyfikacyjnego numeru oryginalnego dokumentu, w przypadku gdy dokument urzędowy został wydany ze strefą do odczytu maszynowego,
- czy kopia ma wystarczającą jakość,
- czy kopia nie została wyświetlona na ekranie na podstawie zdjęcia lub skanu oryginalnego dokumentu tożsamości;